Личные инструменты

Обсуждение:Винлок

Материал из Lurkmore

Перейти к: навигация, поиск

Гадская херня, если в 2007 году легко отключилась из диспетчера задач и больше не теребила мозг, то сейчас доходит до того, что нужно вытаскивать батарейку из материнки.

Мимо проходил Статья канеш гогно, но ежели толковые батеньки допилят, можно будет оставить, бо проблема актуальна.

Поправил немного статью, можно убирать плашку и чуть чуть помочь в доработке.
А может сделать статью в виде вишмастера?Дохуя бесполезной информации и спойлер в конце статьи?
Пошла нахуй, ПРЫЩЕБЛЯДЬ со своими питушиными предложениями.

"Соль в том, что антивирусы не признают винлок как троян, поэтому вероятность заражения близка к 95%" - автор хуй и ничего не понимает в винлокерах. Реквестируется половоззрелый индивидуум, способный привести статью в нормальное состояние.

Во-первых, винлоки, как правило, никоим образом не блокируют explorer.exe, они просто переписывают путь к этому эксплореру в реестре, заменяя его на путь к exe-файлу локера. Во-вторых, возврат значения ключей реестра shell и userinit не всегда помогает, т.к. самые модные версии локера умеют подменять userinit.exe (справедливо только для WinXP) на файл локера, в этом случае нужно еще и возвращать оригинальную версию файла, предварительно удалив userinit.exe в папке system32, которая в свою очередь находится в папке с виндой, это можно сделать посредством того же LiveCD + нужен дистрибутив винды. В каком-нибудь Total Commander открываем I386 и в коммандной строке прописываем unpack -r userinit.ex_ x:/%windir%/system32, где X - буква диска, на который установлена WinXP, а %windir% - папка, в которую винда установлена. В-третьих, есть вариант локера, который записывается в boot sector жесткого диска, такой вариант локера блокирует доступ к системе еще до начала загрузки винды, выдавая все тот же текст, про то, что вы смотрели гей-порно, бла-бла, положите денег на такой-то номер и внизу чека отпечатается код, который нужно тут ввести. Решается очень просто: грузимся с установочного диска винды, и в момент когда появится экран с выбором, надо выбрать восстановление, нажав кнопку "r", далее выбираем под какой копией зайти, и когда появится командная строка, то надо набрать "fixboot" (без кавычек), после чего ребутнуть компьютер, всё должно заработать как раньше. А вообще, чтобы избегать этих баннеров, надо крайне внимательно читать, прежде чем нажимать что-либо, как правило люди хватают его на всяких сайтах, типа "просмотр кино онлайн" и т.д., их просят скачать какую-то программу для просмотра, либо обновление флешплеера с их сайта, что и приводит к таким последствиям. Также в сети можно найти т.н. Antiwinlocker LiveCD, который теоретически может проделать всю вышеперечисленную работу за вас быстро и не принужденно.
Учитывая предыдущие поправки, поправил статью, но вышестоящий автор должен вписать свой пост в статью. Я сам так (как в статье написал) крошу винлоки, но только на хрюше, как правило, уничтожение пути к нему и самого файла вируса оказывается достаточно (+прогнать антивиром). Но делать это с каждым разом сложнее, и тем более, я делал это только в ХРюше.
В качестве вариантов лечения винлоков сигнатуры которых еще не добавлены в базы кабсдохов: а) грузить все что угодно, от livecd с оболочкой и возможностью rw ntfs вплоть до перецепа винта на комп "другу", и поиск и уничтожение dll и exe за последние 2-3-4 недели, и как подсказывает один знакомый кэп б) очень неплохо помогает переименование пользовательского профиля, поскольку последние винлоки активно используют HKLU, которая расположена в файле ntuser.dat, так-то.

Реквестую не удалять, а перенести в инкубатор.

Знакомая подхватила эту дрянь.Помогло безжалостное форматирование диска С: и переустановка системы. Надо отметить, что кулцхакеры, которые это пишут на диво последовательны. Виресняк блокирует Мозиллу, но почему то не трогает Эксплорер. А вот запросы фильтрует. При попытке ввести :"Антивирус", - окошко браузера закрывается.

Так же в сети встречались сайту с кодами, которые надо было ввести в окошке, некоторым таки помогало. Хотя и непонятно откуда взялись такие данные

На дайте ДрВеба точно было, возможно есть и на сайтах других антивирей.

Бля, вас всех что, мама не учила: "Не сиди под рутом админом"? Если сидишь в нете из-под учетки бесправного юзера, а учетка админа запаролена, ни одна хрень тебе никуда не пропишется и ничего в реестре не изменит.

повышение прав и обход UAC никто не отменял, другое дело, что писатели винлоков этим не заморачиваются - хомячков хватает, да и сидящий под юзером продвинутый пользователь врядли будет отправлять СМС. Но да, пока что не видел ни одного заражения из-под юзера, если баннер и всплывал, всё легко лечилось ребутом.

Почему не написали про откат системы как способе борьбы?

Хуйкат. Откат тут не поможет. Проверено.
И я проверял. Мне помог.
Восстановление из образа системного диска поможет чему хочещь, лол, столько шуму из за пустяка.
Один раз помог перевод системной даты месяца на три вперёд

Зайти в интернеты с др. компа и посмотреть какой пароль нужно набрать для конкретного винлока, или использовать генератор паролей на доктор вебе например.(И невхуй не уперлись реестры, командные строки и ливсиди)

Гарантирую, не на всякую тварь моментально найдётся подходящий код. Два-три дня придётся подождать, если не повезёт.
Полностью согласен. Бывало с 5-6 раза код подходил. А для некоторых зверей там по 30-40 комбинаций за раз выдают....(Спасибо за правку 6-го способа. Сразу не разобрался как ссылки вставлять.)
Ну, это явно не мне «спасибо»
А вот идею звонить по телефону и угрозами, слезами и прочими соплями выпрашивать код разблокировки необходимо слить..ибо глупо, некрасиво и неадекватно...Имхо, мошенники не отвечают по телефону, который запилен в винлоке, их телефон не найдешь ни на каком сайте...ну и сомневаюсь, что если кто то все же дозвонится, то они станут добрыми и пушистыми....

Содержание

[править] Люди, обратитесь к телемастеру.(с)

Если вы настолько тупы, что оказались бессильны перед очередной версией сабжа, то отдайте свой НЖМД знакомому гуру или в ближайший компьютерный сервис. Там тупо просканят ваш диск последней версией Касперского, подлатают реестр и восстановят убитые файлы. Взамен потребуется энная сумма денег/количество пива. И нехер работать из-под ру.. админа там где это не требуется.

Мальчик, ты долбоёб?
Меня доставали знакомые с этим винлоком, покая не догадался брать с них деньги, теперь я люблю этого зверька. Самому ни разу не удалось словить.

Владельцы Айфонов могут скачать приложение по удалению сабжа - Kaspersky Deblocker, помогает инфа 100%.

[править] В эту статью необходимо добавить

Статья о винлоке без картинков- не статья. Тем более, что на лурке они уже есть. Алсо: а что, этой статьи не было? о.О

Не было, решил запилить.
Как так не было? [1] [2] [3]
Ну не было и всё тут :)
З.Ы. - картинки годные, можно в статью запилить.

[править] Посмотрим с другой стороны

Почему ещё никого из вирусописателей не схватили за жопу? Надо бы обозреть и этот аспект. Ведь отследить, куда направляются деньги, несложно, было бы желание.

Во-первых, откуда мы знаем, что никто не пойман? Во-вторых, какую статью им можно предъявить?
Товарищ прокурор разберётся, на мой взгляд, здесь можно пришить ст. 273 [4]

[править] Ваша статья - говно

Зачем писать статью, не ведая матчасти в совершенстве? Автор, ваша статья - говно. Уйма неточностей, как то: Вы предлагаете запускать ворд/блокнот/вордпад, и сами говорите, что винлок блокирует диспетчер задач и клавишесочетания. Вы - либо воюете с логикой, либо нихуёвый идеалист. На каждом шагу враки и бред. Либо допиливайте статью грамотно, либо выпиливайте уже нафиг.


Вообще непонятно к чему все эти потуги со стороны вирмейкеров с отключением диспетчера задач и регедита, инжектом в процессы, работой в сейфмоде и прочими средствами защиты от выгрузки процесса винлока юзером? Неужели человек знающий и перепробовавший все способы избавления от винлока в конце концов сдастся и отправит таки смс-ку в надежде получить код разблокировки. С другой стороны потенциальная жертва у которой хватит ума отправить СМС (раньше каждый десятый, сейчас 1 из 100) понятия не имеет об этих ваших таск менеджерах, реестрах и сейфмодах. Достаточно сделать перекрывающее окно с bsNone не реагирующее на внешние раздражители, написать на нем что будет если не отправить смс на указанный номер, поле для ввода "кода разблокировки" и батон. Все. Эффективность будет такая же как у самого навороченного винлока. Эффективность в смысле вероятности отправки СМС конечно..

Я смотрю, тут много специалистов по винлокам собралось? Вместо достойной правки только и могут "УДОЛИТЬ!!!"...Статью оставить. Хорошая годная статья.

[править] Оставьте статью в покое

Оставьте статью в покое...Все методы проверены и рабочие за исключением одного...

[править] Так кто же идеолог?

Наткнулся на такую вот статейку: http://www.xakep.ru/post/53562/ >Не секрет, что многие пользователи настолько далеки от информационных технологий, что допускать их к работе за таким сложным устройством, как ЭВМ, чревато. Но как организовать ограничение доступа к ПК? Ведь включить компьютер нынче может любой, у кого хотя бы на 10% руки растут из плеч. К счастью, существует целый класс программ, помогающий ограничить пользователю доступ к различным компонентам операционной системы: от простого запрета играть в Косынку или Сапера, до полной блокировки Windows.

Это не добывающий себе еду специалист компьютерной помощи, как думалось сначала. Главный идеолог — это такой «злой профессор»-программист, сошедший с ума на почве "засилья чайников". Наверняка ещё и является линуксоидом, возможно ещё и мечтает о вендекапце и всеобщему переходу на линукс-питухос. А это уже потом школокулхацкеры всякие переиначивают троян, чтобы накидать себе денег на телефон.

>Руслан, залогинтесь.

Источник — «http://lurkmore.ru/Обсуждение:Винлок»